Windows 域之 组、OU

最新推荐文章于 2024-04-25 22:40:10 发布
最新推荐文章于 2024-04-25 22:40:10 发布
阅读量2.7k 收藏 14
点赞数 1
分类专栏: 内网渗透 文章标签: windows
原文链接:https://daiker.gitbook.io/windows-protocol/ldap-pian/9
版权

在域内,我们无时无刻不在跟组打交道,比如我们熟悉的域管,就是一个组。按照用途来分,组分为通讯组和安全组。对于通讯组,我们接触的比较多的就是邮件组,将若干个人划分到一个通讯组,给这个通讯组发件,那组内用户都能收到。但是通讯组不能控制对资源的访问,我们并不是很在意。这篇文章侧重介绍安全组。
安全组是权限的集合。举个例子,运维需要对公司的网络进行管理,需要一些特殊的管理权限,我们就可以设置个组,对组配置权限。然后将运维拉近组里面,组里面的运维就拥有了该权限。安全组可以根据作用范围划分为。

  • 全局组
  • 通用组
  • 域本地组

域本地组,顾名思义,就是适用本身的组,可包含林内的账户,通用组,全局组,其他域内的通用组要在本域拥有权限,一般都是加入这个域的域本地组。比如说一个林里面,只有林根域有Enterprise Admins这个组,这是个通用组。然后其他子域 的域本地组Administrators会把林根域的Enterprise Admins加进里面,所以林根域的Enterprise Admins组用户才在整个林内具备管理员权限。如果想要一个只允许访问同一个域中的资源的组,那么使用域本地组即可。

通用组, 在林的场景下比较有用。组内成员会在GC内复制。如果你想要一个可以访问林中任何东西的组,并且可以在林中包含任何账户,请使用通用组。

全局组,可以全局使用。即:可在本域和信任关系的其它域中都可以使用,体现的是全局性。但是只能包含本域内的账户。

AGDLP

安全组是权限的集合,所以在微软的建议中,并不建议给赋予单个用户权限,而是赋予一个组权限,然后将成员拉近组。下面介绍下AGDLP策略。

  • A表示用户账号,Account
  • G表示全局组,Global group
  • U表示通用组,Universal Group
  • L表示本地组, local group
  • DL表示域本地组,Domain local group
  • P表示资源权限,Resource Permissions

有常见的几种权限划分方式

  • AGP,将用户账户添加到全局组,然后赋予全局组权限
  • AGLP,将用户账户添加到全局组,将全局组添加到本地组, 然后赋予本地组权限
  • ADLP 将用户账户添加到域本地组,然后赋予域本地组权限
  • AGDLP,将用户账户添加到全局组,将全局组添加到域本地组, 然后赋予域本地组权限
  • AGUDLP,将用户账户添加到全局组,将全局组添加到通用组,将通用组添加到域本地组, 然后赋予域本地组权限

组织单位(Organization Unit)

组织单位(Organization Unit),简称OU,是一个容器对象,将域中的对象组织成逻辑组,帮助网络管理员简化管理组。组织单位包含下列类型的对象:用户,计算机,工作组,打印机,安全策略,其他组织单位等。可以在组织单位基础上部署组策略,统一管理组织单位中的域对象。 在企业域环境里面,我们经常看到按照部分划分的一个个OU。

另外百度知道上面的一个答案我觉得也可能带来更深的了解和启发
https://zhidao.baidu.com/question/212415410.html

域中OU指的是组织单位(Organizational Unit),组织单元是可以将用户、组、计算机和其它组织单位放入其中的AD(Active Directory,活动目录)容器,是可以指派组策略设置或委派管理权限的最小作用域或单元。性质是最小作用域或单元

OU跟容器的区别

组织单位(OU)是专用容器,与常规容器的区别在于管理员可以将组策略应用于OU,然后系统将其下推到OU中的所有计算机。您不能将组策略应用于容器。需要注意的是Domain Computers是一个普通容器,而Domain Controllers是一个OU,因此可以可以将组策略应该于Domain Controllers,不可以将组策略应用于Domain Computers。关于更多组策略的内容,我们后面会专门有一篇文章介绍组策略。

OU跟组的区别

组织单位跟组是两个完全不同的概念。很多人经常会把这两个弄混。组是权限的集合。OU是管理对象的集合。举个前面举过的例子,运维需要对公司的网络进行管理,需要一些特殊的管理权限,我们就可以设置个组,对组配置权限。然后将运维拉近组里面,组里面的运维就拥有了该权限。比如我们需要对财务部里面的用户进行统一管理,那我们可以设置个OU,然后把财务部的用户拉近这个OU,这样就可以进行集中管理,比如说下发组策略。说通俗点,组是管理的集合,OU是被管理的集合

OU委派

考虑这样一种需求,如果我们想允许某个用户把其他用户拉近OU,而不赋予这个用户域管权限,我们可以在这个OU给这个用户委派 添加成员的权限。组织单位的委派其实就是赋予某个域内用户对OU的某些管理权限。这些权限体现在ACL里面。

参考

https://daiker.gitbook.io/windows-protocol/ldap-pian/9
https://zhidao.baidu.com/question/212415410.html

烟雨醉沉浮
关注
专栏目录
Windows Server 2019】策略的配置与管理——配置基于策略(上)基础配置示例
VMware, Windows, Linux, Cisco, Container, Kubernetes, Kali
09-05 1万+
博文介绍了如何配置基于策略。首先在AD中创建策略,然后通过4个实例来验证策略设置效果。分别是: - 禁止【user_fjnu】用户访问控制面板和PC设置。 - 禁止【user_fjnu】所有用户修改IE浏览器的默认主页,并将默认主页设置为www.fjnu.edu.cn。 - 禁止【user_fjnu】用户运行【计算器程序】。 - 使【user_fjnu】用户登录系统后,隐藏C盘。
全局\通用\本地\安全\通讯区别
weixin_33805743的博客
09-29 3187
A.OU织单元)与Group()之对比 首先我们要明确OU与Group是完全不同的概念,OU的主要是为进行管理上层次织以及策略的实施而设立的容器。简单的说,你不能为一个OU设置权限,但是,你可以为一个OU指定策略,并且,你可以为一个OU将权力委派控制(在2000中是这么说的,但说成是“下放”也不为过)给特定的用户,,或计算机(有点儿象人事部?),让他(她,...
(八)windows server 2008管理、OU策略(运维安全
Until_U的博客
07-01 3435
目录 1 的创建与加入 1.1 创建 1.2 加入 2 创建ou织单元 3 策略管理 1 的创建与加入 实验环境:win server 2008(DNS+控制器):10.1.1.1 winxp、win7的ip要和server2008一个网段,并且dns指向server。 1.1 创建 (1)安装控制器,输入以下命令,第一次输入安装,想要卸载也是这个命令 (2)新建林 (3)为林命名 (4)设置林功能级别,建议设置2003,如果设置高的,以后..
Windows Server 2012活动目录基础配置与应用(新手教程)之6---织单位OUGroup...
weixin_34138377的博客
11-12 852
概念:织单位(Organizational Unit),简称OU ,是可以将用户、、计算机和其它织单位放入其中的AD容器,是可以指派策略设置或委派管理权限的最小作用或单元。 观察:AD用户和计算机的窗口,分析OU图标的不同。 1.OU的基本管理(1)仿照学校的结构,建立不同的OU。(2)按住鼠标左键,分别移动部分用户账户至创建好的OU中。(3...
OU用户的创建
最新发布
六月生的博客
04-25 364
输入我们的新密码,要符合密码策略,我填的是。开启我们的客户端,在登录那里选择。(新密码不能和初始密码相同)接着他会提示我们修改密码。
审计--OU策略配置方法
weixin_43933781的博客
12-25 1513
OU策略配置
Windows Server 2016-OU织单位日常操作
awmqc66006的博客
02-18 317
技术无所谓贵贱,既然曾经做过就总该是要留下点什么,毕竟做技术这些年给我们留下太多太多的成长经历,总有人问这些已经很皮毛了为什么还要写,其实没那么多花哨理由,就是想着做或者不做这一块总是要对过往做个简单归总,习惯已成自然,虽然因为种种原因频繁隔断更新,但一有时间就想着写点什么,希望N年后还可以帮到更多有需要的人。本章节对Active Directory的日常OU织单位新建、移动、删除等内...
windows2008管理3策略应用ppt课件.ppt
11-17
应用顺序依次为:本地策略对象(LSDOU)、站点策略对象、域组策略对象、OU策略对象,最后是优先级高的GPO。 软件分发是策略的重要功能,包括分发新软件、修复现有软件、删除不再需要的软件以及软件升级。...
web安全day10:通过实验理解windowsOU和GPO
小梁的博客
12-11 1474
我们已经知道,通过在dc上创建新用户,新用户就可以登录连接到的计算机。问题是,使用dc中的用户名登录到计算机后,是否对该计算机拥有完全控制权限呢? 答案是不行的。 我们既希望用户能对自己的电脑拥有完全控制权,但是又不希望将其用户的权限提升到管理员。我们应该怎样做呢? 我们知道,计算机是有本地管理员的,我们能不能将中的普通用户加入本地管理员呢? 答案是可以的。 我们先使用管理员身份登录该计算机。 右键我的电脑--计算机管理--本地用户和 我们可以看到在
Windows网络服务器配置-域组策略.ppt
11-01
本篇将深入探讨Windows域组策略及其在网络服务器配置中的应用,以满足企业对高效、安全的网络环境的需求。 首先,了解何时选择Windows模式至关重要。当企业需要集中管理和控制多台计算机,实现统一的安全策略,...
SCCM2012 设备\用户集合,如何以OU来分
weixin_34120274的博客
09-21 411
一、在sccm控制台的设备集合,选择创建设备集合二、输入你的集合名称,限制集合选择所有移动设备三、下一步后,点击添加规则选择中查询规则四、根据图示编号点击和图示红框的内容进行选择,然后确认返回五、查询语句即下面(你可以在此直接复制过去,把其中红色文字改成你自己的OU)select SMS_R_System.SystemOUName from SMS_R_System whe...
当电脑加控后,自动移入指定的OU
weixin_42494218的博客
03-13 955
当电脑加控后,自动移入指定的OU
OU/Group/Group Policy织单元、策略
weixin_34007291的博客
07-12 954
Builtin这些是所谓的容器,用来存放各种对象。Exchange 中的Organization在AD中就是一个容器。 OU主要和策略搭配使用,是策略能影响的范围,类似SCCM中的collection。 Group嵌套用户,实现AD权限分发。 创建两个OU,实现生产和测试环境的隔离。 按machine和account细分。 一个想法是基于role创建grou...
渗透基础知识(四)之域组
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
12-04 1922
内,使用的概念管理用户。当为设置权限时,内所有的用户都会自动设置权限,因此就不需要单独为某个用户设置权限了。域组账户也都有一个唯一的安全标识符(security identifier,SID)。
ad用户和计算机没有织单位,二、Windows Server 2016 AD 织单位、、用户的创建...
weixin_34546240的博客
06-20 640
简介:织单位简称OUOU是(Organizational Unit)的缩写,织单位是可以将用户、、计算机和织单位放入其中的容器。是可以指派策略设置或委派管理权限的最小作用或单元。建立步骤一、织单位的创建1)打开服务器管理器,点 工具》Active Directory用户和计算机》sunliming.cn(名),鼠标右键》新建》织单位2)输入名称,点确定;二、的创建1)打开服务...
AD(活动目录)中的类型与工作范围
正月十六工作室
06-11 7824
一、的类型 在活动目录中,有两种不同类型的:通讯安全。  通讯:其存储了用户的联系方式,用来实现批量用户账号的通信,例如群发邮件、视频会议等,它没有安全特性,不可用于授权。  安全:具备通讯的全部功能,并可用于为用户和计算机分配权限,是windows servre 2012标准的安全主体。 小测试:创建一个通讯和一个安全,并在中创建一个共享目录,然后测试能否在该共享目录中给这两种类型的授予访问权限? 二、的工作范围 的工作范围是用来限制的作用的。在中,根据的工作范围进
网络安全学习(八)
m0_56413004的博客
05-20 1509
(Domain) 集中/统一管理 内网环境 1)工作:默认模式,人人平等 2) 人人不平等,集中管理,统一管理 成 1)控制器:DC(Domain Controller) 2)成员机 的部署 1)安装控制器——就生成了环境 2)安装了活动目录——就生成了控制器 3)活动目录:Active Directory = AD 活动目录 特点:集中管理/统一管理 策略GPT 部署安装活动目录 以win 2008演示 右键计算机——管理——角色 添加角色
通用、全局、本地域组的区别
热门推荐
young_cpp的专栏
08-21 2万+
1、本地域组:多用户访问单资源(访问同一个)     本地域组的成员可包括Windows Server2003、Windows 2000或WindowsNT中的其他和账户,而且只能在其所在内指派权限。 2、全局:   单用户访问多资源(必须是一个里面的用户)     全局的成员可包括其所在中的其他和账户,而且可在林中的任何中指派权限; 3、通用:   多
用户帐户和的管理
Case
12-17 8931
用户帐户和的管理 (以下操作均在Windows Server 2003系统中实现,客户端也是使用2003来模拟,和实际中客户端使用的XP操作系统可能会有所不同) 很多企业都会用到环境来实现管理,的实际应用非常广泛。下面我们讲解在环境下如何管理用户帐户和。在讲解过程中我们会涉及到用户帐户、计算机帐户、OU等对象。 一、用户帐户的特点 和本地用户帐户不同,用户帐户保存在活动
Windows 2003 域组策略配置与应用
"本文主要介绍了如何在Windows Server 2003环境下实施域组策略,包括在级别和织单位(OU)级别设置策略,并详细阐述了策略的生效过程、继承现象以及阻止策略继承的方法。" Windows Server 2003的域组策略是系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值